Siber tehdit avı - Cyber threat hunting

Siber tehdit avı aktif bir siber savunma faaliyetidir. Bu, "mevcut güvenlik çözümlerinden kaçan gelişmiş tehditleri tespit etmek ve izole etmek için ağlar üzerinden proaktif ve yinelemeli arama sürecidir."[1] Bu, geleneksel tehdit yönetimi önlemlerinin aksine, örneğin güvenlik duvarları, Saldırı Tespit Sistemleri (IDS), kötü amaçlı yazılım sandbox (bilgisayar güvenliği) ve SIEM tipik olarak kanıta dayalı verilerin araştırılmasını içeren sistemler sonra potansiyel bir tehdide karşı bir uyarı var.[2][3]

Metodolojiler

Tehdit avcılığı geleneksel olarak, bir güvenlik analistinin, bunlarla sınırlı olmamak üzere, potansiyel tehditler hakkında hipotezler oluşturmak için kendi bilgilerini ve ağa aşinalıklarını kullanarak çeşitli veri bilgilerini incelediği manuel bir süreç olmuştur Yanal Hareket tarafından Tehdit Aktörleri.[4] Daha da etkili ve verimli olmak için, tehdit avcılığı kısmen otomatikleştirilebilir veya makine destekli olabilir. Bu durumda, analist, makine öğrenme ve kullanıcı ve varlık davranış analizi (UEBA) analisti potansiyel riskler konusunda bilgilendirmek için. Analist daha sonra bu potansiyel riskleri araştırarak ağdaki şüpheli davranışları izler. Bu nedenle, avlanma yinelemeli bir süreçtir, yani bir hipotezden başlayarak bir döngü içinde sürekli olarak yürütülmesi gerektiği anlamına gelir.

  • Analitik Odaklı: "Makine öğrenimi ve UEBA, avlanma hipotezleri olarak da hizmet verebilecek toplu risk puanları geliştirmek için kullanılır"
  • Durumsal Farkındalık Odaklı: "Crown Jewel analizi, kurumsal risk değerlendirmeleri, şirket veya çalışan düzeyinde trendler"
  • Zeka Odaklı: "Tehdit istihbaratı raporları, tehdit istihbaratı yayınları, kötü amaçlı yazılım analizi, güvenlik açığı taramaları"

Analist, ağ hakkında büyük miktarda veriyi inceleyerek hipotezlerini araştırır. Sonuçlar daha sonra, algılama sisteminin otomatikleştirilmiş kısmını iyileştirmek ve gelecekteki hipotezler için bir temel oluşturmak için kullanılabilecek şekilde saklanır.

Algılama Olgunluk Seviyesi (DML) modeli [5] Tehdit göstergelerinin farklı anlamsal seviyelerde tespit edilebileceğini ifade eder. Hedef ve strateji gibi yüksek anlamsal göstergeler veya taktikler, teknikler ve prosedür (TTP), ağ yapıları ve IP adresleri gibi atomik göstergeler gibi düşük anlamsal göstergelerden daha değerlidir.[kaynak belirtilmeli ] SIEM araçlar tipik olarak yalnızca nispeten düşük anlamsal seviyelerde göstergeler sağlar. Bu nedenle, daha yüksek anlamsal seviyelerde tehdit göstergeleri sağlayabilen SIEM araçlarının geliştirilmesine ihtiyaç vardır.[6]

Göstergeler

İki tür gösterge vardır:

  1. Uzlaşma göstergesi - Bir uzlaşma göstergesi (IOC) size bir eylemin gerçekleştiğini ve reaktif modda olduğunuzu söyler. Bu tür bir IOC, işlem günlüklerinden ve / veya SIEM verilerinden kendi verilerinize bakarak yapılır. IOC örnekleri arasında olağandışı ağ trafiği, olağandışı ayrıcalıklı kullanıcı hesabı etkinliği, oturum açma anormallikleri, veritabanı okuma hacimlerindeki artışlar, şüpheli kayıt defteri veya sistem dosyası değişiklikleri, olağandışı DNS istekleri ve insan dışı davranış gösteren Web trafiği bulunur. Bu tür olağandışı etkinlikler, güvenlik yönetimi ekiplerinin kötü niyetli kişileri daha önce tespit etmesine olanak tanır. siber saldırı süreç.
  2. Endişe Göstergesi - Kullanım Açık kaynaklı zeka (OSINT), siber saldırı tespiti ve tehdit avcılığı için kullanılmak üzere kamuya açık kaynaklardan toplanabilir.

Taktikler, Teknikler ve Prosedürler (TTP'ler)

SANS Enstitüsü, aşağıdaki gibi bir tehdit avı olgunluk modeli belirler:[7]

  • Başlangıç ​​- Seviye 0 olgunluğunda, bir kuruluş esas olarak otomatik raporlamaya dayanır ve rutin veri toplamayı çok az yapar veya hiç yapmaz.
  • Minimum - Seviye 1 olgunlukta bir kuruluş, tehdit istihbaratı göstergesi aramalarını birleştirir. Orta veya yüksek düzeyde rutin veri toplamaya sahiptir.
  • Prosedürel - Seviye 2 olgunluğunda, bir kuruluş başkaları tarafından oluşturulan analiz prosedürlerini takip eder. Yüksek veya çok yüksek düzeyde rutin veri toplamaya sahiptir.
  • Yenilikçi - Seviye 3 olgunluğunda bir kuruluş yeni veri analizi prosedürleri oluşturur. Yüksek veya çok yüksek düzeyde rutin veri toplamaya sahiptir.
  • Lider - Seviye 4 olgunluğunda, başarılı veri analizi prosedürlerinin çoğunu otomatikleştirir. Yüksek veya çok yüksek düzeyde rutin veri toplamaya sahiptir.

Bekleme süresi

Mandiant M-Trends Report'a göre, siber saldırganlar ortalama 99 gün boyunca tespit edilmeden çalışıyor, ancak üç günden daha kısa bir sürede yönetici kimlik bilgilerini elde ediyor.[8] Çalışma ayrıca saldırıların% 53'ünün ancak dışarıdan bir tarafın bildiriminden sonra keşfedildiğini gösterdi.[9]

Ortalama Tespit Süresi

Ponemon Enstitüsü'ne göre, 2016 yılında ortalama bir şirketin gelişmiş bir tehdidi tespit etmesi 170 gün, hafifletmesi 39 gün ve iyileşmesi 43 gün sürdü.[10]

Örnek Raporlar

Örnek Tehdit Avı

Ayrıca bakınız

Referanslar

  1. ^ "Siber tehdit avcılığı: Bu güvenlik açığı tespit stratejisi analistlere nasıl avantaj sağlar - TechRepublic". TechRepublic. Alındı 2016-06-07.
  2. ^ "MITRE Öldür Zinciri". Alındı 2020-08-27.
  3. ^ "Siber Suçlulara Karşı Savaşta Tehdit İstihbarat Platformu". Alındı 2019-02-17.
  4. ^ "Özetle Siber Tehdit İstihbaratı (CTI)". Alındı 2020-07-27.
  5. ^ Stillions Ryan (2014). "DML Modeli". Ryan Stillions güvenlik blogu. Ryan Stillions.
  6. ^ Bromander, Siri (2016). "Anlamsal Siber Tehdit Modellemesi" (PDF). İstihbarat, Savunma ve Güvenlik için Anlamsal Teknoloji (STIDS 2016).
  7. ^ Lee, Robert. "Kim, Ne, Nerede, Ne Zaman ve Nasıl Etkili Tehdit Avcılığı". SANS Enstitüsü. SANS Enstitüsü. Alındı 29 Mayıs 2018.
  8. ^ "Tehdit Avı (TH)" (PDF). bir güvenlik.
  9. ^ "Kötü Amaçlı Yazılım Algılama ve Önleme Durumu". Ponemon Enstitüsü. Ponemon Enstitüsü. Alındı 29 Mayıs 2018.